1º Trimestre de 2022 Visão geral da segurança do Blockchain
Um total de 37 grandes explorações foram monitoradas, com uma perda total de aproximadamente US$ 405 milhões
No terceiro trimestre de 2022, a Beosin EagleEye monitorou mais de 37 grandes ataques no espaço Web3, com perdas totais de aproximadamente US$ 405 milhões, uma queda de aproximadamente 43,6% em relação aos US$ 718,34 milhões no segundo trimestre de 2022 e uma redução de 59,6% em relação à perda de US$ 1.002,58 milhões em 3º trimestre de 2021.
De janeiro a setembro de 2022, os ativos perdidos no espaço Web3 devido a ataques totalizaram US$ 2.317,91 milhões.
Em relação a cada mês, Julho teve uma diminuição significativa nos ataques, tornando-se o menor valor de perda de ataques desde 2022. A atividade de hackers aumentou significativamente em agosto e setembro.
Quanto aos tipos de projeto, 92% do valor perdido veio de pontes de cadeia cruzada e protocolos DeFi. 22 dos 37 ataques ocorreram no espaço DeFi.
Em termos de TVL, após uma queda acentuada no TVL de maio a junho, a tendência do TVL de cada rede tendeu a se estabilizar neste trimestre. O final de julho para o início de agosto apresentou uma ligeira tendência de alta no TVL, que também foi o período com maior número de ataques e valor de perdas neste trimestre.
Em termos de cadeias, a quantidade de perdas no Ethereum atingiu US$ 374,28 milhões neste trimestre, representando 92% das perdas totais. A cadeia mais atacada foi a BNB Chain, que alcançou 16 vezes.
Quanto aos tipos de ataque, 92% do valor da perda foi causado por explorações de vulnerabilidade de contrato e comprometimento de chave privada.
Em termos de fluxos de fundos, cerca de US$ 204,2 milhões dos fundos roubados foram para o Tornado Cash, representando cerca de 50,4% dos fundos roubados no trimestre. Apenas cerca de 4% dos fundos roubados foram recuperados durante o trimestre.
Em termos de auditorias, apenas 40% dos projetos rekt foram auditados.
2 Visão geral das explorações
Os ataques gerais caíram no terceiro trimestre em comparação com o segundo trimestre
No terceiro trimestre de 2022, 37 grandes ataques foram monitorados no espaço Web3, com uma perda total de aproximadamente US$ 405 milhões. Houve dois ataques com perdas de US$ 100 milhões ou mais, três ataques com perdas de US$ 10 milhões ou mais e 14 ataques com perdas de US$ 1 milhão ou mais. Os incidentes de segurança com mais de US$ 100 milhões em perdas foram Ponte Nômade (US$ 190 milhões) e Wintermute (US$ 160 milhões).
Agosto de 2022 foi o mês mais ativo para hackers no trimestre, com perdas de cerca de US$ 210,62 milhões. As perdas totais dos ataques em julho foram de US$ 30,05 milhões, tornando-se a menor quantidade de perdas em um mês desde 2022.
3 Tipos de projetos rekt
Pontes de cadeia cruzada e projetos DeFi respondem por 92% do valor da perda
No terceiro trimestre de 2022, três ataques de ponte cruzada resultaram em uma perda total de aproximadamente US$ 190,25 milhões; 22 ataques no espaço DeFi resultaram em uma perda total de US$ 186,79 milhões. Aproximadamente 92% da quantidade de perda de ataque veio da ponte de cadeia cruzada e dos protocolos DeFi.
Em setembro de 2022, houve 10 grandes incidentes de segurança em pontes de cadeia cruzada em 2022, com mais de US$ 1,4 bilhão em perdas. As pontes cruzadas foram a área mais afetada pelos ataques em 2022.
Além de pontes de cadeia cruzada e protocolos DeFi, outros tipos de projetos atacados neste trimestre incluíram NFTs, exchanges, DAOs, carteiras e bots MEV, tornando seus tipos gerais mais diversos do que no trimestre anterior.
4 Valor da perda por cadeia
Perdas no Ethereum chegam a US$ 374,3 milhões
12 grandes ataques ocorreram no Ethereum neste trimestre, com uma perda total de US$ 374,28 milhões, ficando em primeiro lugar entre todas as cadeias. Solana perdeu US$ 18,37 milhões em 3 exploits.
As cadeias com grandes ataques em dois trimestres consecutivos incluem Ethereum, BNB Chain, Fantom e Avalanche.
A BNB Chain viu a maioria dos ataques, com 16 exploits, e seus projetos correspondentes são todos não auditados. A quantidade de dinheiro envolvida nessas 16 explorações é relativamente pequena, com 14 incidentes envolvendo uma única perda de menos de US$ 500.000.
Depois de experimentar uma queda acentuada no TVL de maio a junho, a tendência do TVL em todas as redes se estabilizou neste trimestre. O TVL apresentou uma ligeira tendência de alta no período do final de julho ao início de agosto, que também foi o período de maior quantidade de ataques e perdas neste trimestre. O mercado de criptomoedas geralmente caiu ligeiramente em setembro. Após a fusão do Ethereum em 15 de setembro, o Ethereum TVL viu um leve declínio contínuo.
5 Análise de Tipos de Ataque
92% do valor perdido foi causado por explorações de vulnerabilidade de contrato e comprometimento de chave privada
No terceiro trimestre, as explorações de contrato continuaram a ser o tipo de ataque mais comum. Cerca de 15 ataques são explorações de vulnerabilidade de contrato, representando 40,5% do número total. As perdas totais de vulnerabilidades de contrato totalizaram US$ 201,6 milhões, ou 50,9% das perdas totais.
Os quatro comprometimentos de chave privada neste trimestre resultaram em aproximadamente US$ 167,24 milhões em perdas, a segunda maior quantidade de perdas após explorações de vulnerabilidade de contrato.
Em comparação com o trimestre anterior, os tipos de ataques neste trimestre foram mais diversificados. Novos tipos de ataque que surgiram neste trimestre incluem sequestro de BGP, configuração incorreta e ataques à cadeia de suprimentos.
Por vulnerabilidades de contrato, as principais vulnerabilidades exploradas neste trimestre incluem: problemas de validação, reentrada, problemas de permissão, lógica ou funções de negócios projetadas incorretamente e vulnerabilidades de estouro. Essas vulnerabilidades podem ser descobertas e corrigidas durante a fase de auditoria.
6 Recapitulação Típica de Incidentes de Segurança
6.1 Incidente de US$ 190 milhões da Ponte Nômade
Em 2 de agosto, a Nomad Bridge, uma plataforma de cadeia cruzada que suporta transferências de ativos em Ethereum, Moonbeam, Avalanche, Evmos e Milkomeda, sofreu um enorme hack que custou ao projeto US$ 190 milhões.
6.2 Incidente da carteira inclinada em Solana
Em 3 de agosto, um incidente de roubo de carteira Slope em grande escala ocorreu em Solana, com perdas estimadas em cerca de US$ 6 milhões.
6.3 Incidente de Comprometimento de Chave Privada Wintermute
Em 20 de setembro, a fabricante de mercado de criptomoedas Wintermute foi atacada com uma perda de US$ 160 milhões devido a um comprometimento de chave privada.
7 Análise de fluxo de fundos
Aproximadamente US $ 204,2 milhões em fundos roubados fluíram para o Tornado Cash
Em 8 de agosto, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA sancionou o Tornado Cash, proibindo indivíduos ou organizações dos EUA de interagir com ele. No terceiro trimestre de 2022, aproximadamente US$ 204,2 milhões em fundos roubados ainda fluíram para o Tornado Cash, representando 50,4% dos fundos roubados naquele trimestre, o que é menor do que no segundo trimestre.
Aproximadamente US$ 182,3 milhões dos fundos roubados permaneceram no endereço do hacker como saldo. Alguns fundos roubados foram transferidos para endereços em outras redes, e essa parte ainda é contada como saldo de endereços do hacker.
Cerca de US$ 16,6 milhões em ativos foram recuperados por meio de negociações on-chain e retornos não solicitados de hackers de chapéu branco. No terceiro trimestre de 2022, apenas cerca de 4% dos fundos roubados foram recuperados, uma porcentagem muito menor do que no segundo trimestre.
Cerca de US$ 1,92 milhão em ativos roubados fluíram para exchanges como Binance e FixedFloat. Esses incidentes geralmente envolviam um pequeno número de ativos (geralmente em torno de US$ 10 mil a US$ 100 mil), e os hackers transferiram os fundos roubados para as exchanges imediatamente após o ataque, resultando em projetos que não conseguiram entrar em contato com as exchanges a tempo de congelar os fundos.
8 Análise de Auditoria do Projeto
Apenas 40% dos projetos foram auditados
Em 2022, o percentual de projetos rekt auditados foi: 70% no primeiro trimestre, 52% no segundo trimestre e 40% no terceiro trimestre. A porcentagem de projetos rekt não auditados mostra uma tendência crescente trimestre a trimestre.
De todos os projetos rekt, os projetos auditados perderam um total de US$ 375,48 milhões, e os projetos não auditados perderam cerca de US$ 29,56 milhões em ataques. À primeira vista, pode parecer que as auditorias não serviram para proteger a operação segura dos projetos. No entanto, uma análise mais profunda mostra que a maioria desses projetos auditados foi atacada por questões de nível não contratual, como comprometimento de chave privada, ataques à cadeia de suprimentos, ataques de DNS, sequestro de BGP e configuração incorreta. Entre os projetos não auditados, 85% foram causados por vulnerabilidades de contrato ou ataques de flashloan.
Pode-se ver que as auditorias profissionais ainda são eficazes para garantir o projeto em nível de contrato até certo ponto. No entanto, a operação segura de um protocolo também requer um bom trabalho de controle de risco offline, guarda da chave privada, estar alerta a ataques tradicionais de segurança de rede e usar componentes de terceiros com cuidado. Claro que neste trimestre também existem algumas vulnerabilidades que deveriam ter sido descobertas na fase de auditoria mas não foram apresentadas no relatório de auditoria, por isso é recomendado que o projeto busque uma empresa de segurança profissional para realizar a auditoria.
Baixe o completo relatório:
Sobre a Blockchain Security Alliance
A Blockchain Security Alliance foi lançada por várias unidades com diversas origens do setor, incluindo instituições universitárias, empresas de segurança blockchain, associações do setor, provedores de serviços de fintech, etc. O primeiro lote do conselho da aliança inclui Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit e Huawei Cloud. Os membros atuais incluem: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive e Digital Treasures Center. Os membros da Security Alliance trabalharão e cooperarão juntos para proteger continuamente o ecossistema global de blockchain com seus próprios pontos fortes técnicos. O Alliance Council também dá as boas-vindas a mais pessoas em campos relacionados à blockchain para se juntarem e defenderem conjuntamente a segurança do ecossistema blockchain.
Registro de aliança
https://forms.gle/pb3NaUgS3a2Sswnc8
Contato
Telegrama: @kristenbeosin, @Web3Donny
E-mail: [email protected]
Membro da Aliança – Beosin
A Beosin é uma empresa líder global em segurança de blockchain com sede em Cingapura, com mais de 100 especialistas em segurança em verificação formal e segurança de blockchain. Com a missão de “Securing Web3.0 Ecosystem”, a Beosin fornece produtos e serviços de segurança blockchain integrados, incluindo auditoria de segurança de código, monitoramento de risco, alerta e bloqueio para projetos, conformidade de segurança KYT & KYC e recuperação de ativos roubados. Atualmente, a Beosin fornece serviços de segurança para mais de 2.000 empresas de blockchain em todo o mundo, auditou mais de 2.500 contratos inteligentes e protegeu mais de US$ 500 bilhões em ativos para clientes.
Membro da Aliança – Análise de Pegada
O Footprint Analytics é uma ferramenta para descobrir e visualizar dados em toda a blockchain, incluindo dados NFT e GameFi. Atualmente, ele coleta, analisa e limpa dados de 18 cadeias e permite que os usuários criem gráficos e painéis sem código usando uma interface de arrastar e soltar, bem como com SQL ou Python.
